Pour les aigrefins du net, il existe plusieurs manières d'usurper l'identité des internautes. La plus simple est basée sur leur naïveté. Elle consiste à mettre la main sur quelques adresses e-mail, soit en les interceptant sur la Toile mondiale, par exemple chez ceux qui laissent la leur sur des sites, soit en les subtilisant parmi toutes celles qui se vendent sous le manteau.

Les ruses sont nombreuses
La seconde opération effectuée par le pirate revient à créer une adresse e-mail qui présente tous les critères d'honorabilité, c'est-à-dire qui semble avoir une parenté avec des fournisseurs de comptes de messagerie, par exemple admin@hotmailsecurity.com, et d'envoyer un e-mail à toutes les adresses hébergées, en l'occurrence sur un serveur hotmail.
Depuis ces adresses, les escrocs pourront lancer des messages en masse dont le contenu pourrait être: «Suite à une attaque de pirate, le serveur hotmail a perdu vos données personnelles. Pour récupérer les messages qui vous sont destinés, nous avons besoin de votre identifiant et mot de passe afin de reconstituer notre base de données. Veuillez indiquer ci-dessous ces informations et nous les envoyer».

Utilisation malhonnête de votre réseau
Une fois qu'un pirate a pris possession des données personnelles de quelqu'un, il lui est extrêmement facile de s'introduire dans sa messagerie et d'envoyer des messages à ceux qui lui en expédient habituellement. Il pourra alors leur faire croire que le détenteur de ce compte est parti en vacances dans un pays lointain, qu'il a eu un accident ou qu'on lui a dérobé tous ses bagages et effets personnels. L'expéditeur leur demandera de lui envoyer un chèque de plusieurs milliers de francs à une adresse (qui s'avèrera naturellement fantôme, mais où il y aura quand même quelqu'un pour les recevoir).
Cet exemple démontre qu'il ne faut jamais donner son identifiant et mot de passe en réponse à un e-mail. Si l'hébergeur de son compte de messagerie a réellement un problème, il ne le demandera jamais de cette manière, et ce sera de toute façon le titulaire qui devra entrer sur son compte de messagerie pour modifier ses paramètres.

Que faire si on se fait usurper son identité sur Internet?
Quand quelqu'un a mis la main sur un compte de messagerie parce que son détenteur lui a transmis son identifiant et son mot de passe par inadvertance à la suite de l'envoi d'un e-mail trompeur, la première réaction à avoir est de recréer un nouveau compte et de ne plus utiliser l'ancien. D'ailleurs, si quelqu'un a pris le contrôle de son compte de messagerie, la première chose que l'usurpateur fera sera d'en changer le mot de passe pour empêcher ainsi son détenteur légal d'y avoir accès.
Ce dernier devra immédiatement avertir tous ses contacts afin qu'ils ne réagissent plus aux messages provenant de l'ancienne adresse. Il faudra aussi demander à l'hébergeur de la boîte de messagerie de supprimer l'ancien compte le plus rapidement possible. Cela évitera à tous ses amis et connaissances de recevoir des messages provenant d'un tiers qui tentera de leur soutirer de l'argent ou de leur proposer des affaires foireuses.
La meilleure défense étant la prudence, il n'est pas inutile de rappeler qu'il ne faut jamais répondre à une quelconque sollicitation d'un expéditeur d'e-mail de transmettre des mots de passe ou des données personnelles.

Le danger des achats en ligne
L'autre danger potentiel d'Internet touche au commerce en ligne. Même si la majorité des exploitants de cyber-boutiques développent leur affaires avec beaucoup de précautions et de sérieux, ils ne présentent pas tous le même niveau d'honorabilité. Ils peuvent en effet facilement profiter de l'anonymat caractérisant la Toile mondiale pour escroquer les internautes trop naïfs qui se laissent séduire par des offres mirobolantes mais totalement surfaites à l'arrivée. Le risque réside aussi dans le fait que la marchandise ne soit jamais livrée ou que celle-ci ne corresponde pas à ce qui était promis sur Internet. Et une fois que sa carte de crédit a été débitée, il s'avère souvent très difficile de se faire rembourser les arrhes déjà versées. L'aspect de l'interface utilisateur ne reflète en outre pas forcément le professionnalisme de la personne ou de l'organisation qui se trouve derrière le site en question.
Un test tout simple permet de se rendre compte de la qualité du service et donc du sérieux d'un site. Il est indispensable si l'on envisage de procéder à un achat important et que l'on ne l'a encore jamais expérimenté. Il consiste à poser préalablement une question très pointue concernant un des produits proposés. Il est aussi essentiel de connaître les conditions générales de vente accordées par le site, en particulier les frais de livraison demandés (très souvent en plus), et de savoir quelles sont les possibilités de renvoi de la marchandise en cas d'insatisfaction ou de malfaçon. Fréquemment, ces informations sont indiquées en très petits caractères sous la rubrique consacrée aux conditions générales de vente. Si elles n'y figurent pas, demandez préalablement qu'elles vous soient précisées.
La plupart des sites marchands des grands distributeurs offrent un bon niveau de fiabilité au risque de subir des retombées très dommageables sur leur réputation. Cela n'empêche pas d'être confronté à certaines mauvaises surprises. Pour éviter tout risque majeur, il est préférable de commencer par passer une commande d'un faible montant afin de voir comment la livraison s'effectue.

Ne pas laisser trop d'informations sensibles
Il ne faut pas manquer d'adopter un comportement très suspicieux dès l'instant où un site exige des informations personnelles qui n'ont aucun rapport direct avec l'acte d'achat. Celles-ci sont souvent demandées lorsque l'on veut vous faire bénéficier de promotions alléchantes. Dans de tels cas, deux attitudes sont possibles: soit renoncer à ces propositions qui visent avant tout à vous inonder ultérieurement de messages non sollicités pour vous adresser de nouvelles offres; soit de donner une adresse e-mail «poubelle» que l'on n'ouvre jamais et qui n'est pas redirigée vers son adresse principale. Il faut rappeler qu'une boutique en ligne n'a en réalité besoin que d'un nom et d'une adresse e-mail. Toutes les autres informations - telles que le sexe, l'âge, la nationalité, le nombre d'enfants, son assurance, etc. - sont totalement inutiles.
Par ailleurs, les sites sérieux proposent toujours d'envoyer la marchandise contre facture, sans paiement préalable par carte de crédit. Un tel signe reflète une grande crédibilité de la part de l'organisme de vente qui ne craint pas de s'exposer à un risque de non-paiement. Cela démontre aussi qu'il est extrêmement confiant dans le rapport qualité/prix des produits qu'il propose sur son site. Enfin, en cas d'escroquerie, il s'avèrera toujours plus aisé d'attaquer une société se situant dans le même pays que l'acheteur.

Pierre-Henri Badel

_______________________________________________________

Quelques précautions indispensables dans les achats en ligne

· Accédez toujours à un site marchand à partir d'un PC sécurisé par un logiciel antivirus parfaitement à jour et après avoir activé un pare-feu («firewall») et bloqué les attaques de phishing.
· N'effectuez vos achats que sur des boutiques en ligne connues ou tout au moins ayant une bonne réputation. Dans le doute, lancez préalablement une recherche sur Internet pour connaître l'avis des internautes.
· Utilisez une carte de crédit plutôt qu'une carte client: cette dernière n'offre généralement pas de garanties sérieuses, l'organisme émetteur se dégageant en outre de toute responsabilité en cas de débit erroné. Par ailleurs, vérifiez régulièrement votre décompte bancaire et exigez immédiatement de l'organisme émetteur de la carte qu'il vous rembourse si un montant débité ne correspond pas un achat effectif.
· Privilégiez les sites marchands qui acceptent les livraisons contre facture.
· Méfiez-vous comme de la peste des messages vous proposant des cadeaux ou des produits à prix cassés.
· Veillez à ce qu'un cadenas apparaisse sur la page du site marchand (ce qui est confirmé par l'apparition du préfixe https en remplacement de http dans l'adresse du site).

Pour en savoir plus à ce sujet: www.ti-exclusif.ch